Résilience des infrastructures critiques et renforcement de la cybersécurité

Par cet amendement, le groupe LFI souhaite modifier les critères de désignation des membres de la commission des sanctions afin de renforcer son indépendance et son impartialité. Le groupe LFI souhaite également renforcer l'indépendance de la commission des sanctions en supprimant la possibilité de renouveler le mandat de ses membres. En privant l'exécutif de la possibilité de renouveler le mandat des membres de la commission des sanctions, le caractère désintéressé des décisions prises par elle s'en trouvera renforcé.

L'avis des commissions des lois de l'Assemblée nationale et du Sénat permet en effet aux deux assemblées d'exercer leur pouvoir de contrôle sur les nominations décidées par l'exécutif, et ainsi prévenir d'éventuels conflits d'intérêt qui pourraient déboucher de ces nominations.

Lorsque la commission des sanctions est saisie par l’ANSSI, les 3 personnes qualifiées nommées par le Premier Ministre et les Présidents du Sénat et de l’Assemblée nationale ne peuvent avoir été membre dans les 3 dernières années d’un opérateur concerné par les sanctions, ni avoir été membre de l’ANSSI durant la même période (article 36 du PJL). Le présent amendement vise également à étendre cette condition à tous les membres de la commission des sanctions, et pas seulement lors d’une saisine par l’ANSSI.

Après l’alinéa 83, insérer l’alinéa suivant :

« Ces personnalités ne peuvent avoir exercé, au cours des trois années précédant leur nomination, une activité ni au sein de l’une des personnes mentionnées aux articles 8 et 9 ni au sein de l’autorité nationale de sécurité des systèmes d’information, ni au sein d’une entité désignée comme un opérateur d’importance vitale ni au sein de l’autorité administrative ayant saisi la commission. »

Par cet amendement, le groupe LFI souhaite modifier les critères de désignation des membres de la commission des sanctions afin de renforcer son indépendance et son impartialité. Le groupe LFI souhaite également renforcer l'indépendance de la commission des sanctions en supprimant la possibilité de renouveler le mandat de ses membres. En privant l'exécutif de la possibilité de renouveler le mandat des membres de la commission des sanctions, le caractère désintéressé des décisions prises par elle s'en trouvera renforcé.

L'avis des commissions des lois de l'Assemblée nationale et du Sénat permet en effet aux deux assemblées d'exercer leur pouvoir de contrôle sur les nominations décidées par l'exécutif, et ainsi prévenir d'éventuels conflits d'intérêt qui pourraient déboucher de ces nominations.

Lorsque la commission des sanctions est saisie par l’ANSSI, les 3 personnes qualifiées nommées par le Premier Ministre et les Présidents du Sénat et de l’Assemblée nationale ne peuvent avoir été membre dans les 3 dernières années d’un opérateur concerné par les sanctions, ni avoir été membre de l’ANSSI durant la même période (article 36 du PJL). Le présent amendement vise également à étendre cette condition à tous les membres de la commission des sanctions, et pas seulement lors d’une saisine par l’ANSSI.

À la première phrase de l’alinéa 90, substituer aux mots :

« , renouvelable une fois »,

les mots : 

« non renouvelable ». 

Cet amendement est une demande de rapport concernant l’attribution des fréquences. Le déploiement des capacités satellites en orbite terrestre basse s’intensifie depuis une dizaine d’années. Les réseaux de satellites commerciaux et gouvernementaux se multiplient. Cette prolifération pose la question de la bonne gestion du spectre électromagnétique. C’est une ressource « naturelle », rare et limitée, dont l’allocation est gérée par l’Union Internationale des Télécommunications (UIT). L’Agence Nationale des Fréquences (ANFR) fait l’interface, depuis la France, entre cette dernière et les demandes de fréquences des opérateurs. Or, l’accélération des projets de « mégaconstellations » privés s’accompagne de tentatives d’accaparer les réservations des spectres (en bandes Ku, Ka et Q/V) couplées aux orbites.

Cela donne lieu à une surenchère et à des spéculations financières de « satellites de papier » qui participent d’une économie des promesses économiques questionnable ; en résumé, à une « guerre de fréquences ». Insistant sur l’exigence de sobriété dans les arènes internationales de la diplomatie spatiale, la France n’échappe pourtant pas à ces logiques de marchandisation du couple spectre/orbite. Ainsi l’atteste la réservation auprès du Rwanda en 2021, par la start-up E-Space basée à Toulouse, de 300 000 couples spectres/orbites pour un réseau de nanosatellites. Ce dernier a été enrichi par le dépôt à l’UIT, par l’ANFR au nom de la France, d’une autre demande pour une constellation de 116 640 satellites (Semaphore-C2). Cette démarche a été validée techniquement et réalisée par l’ANFR.

Les problèmes liés à l’encombrement de l’orbite basse par ces systèmes en coexistence forcée sont désormais bien connus. Les risques d’effondrement, suscités par les collisions entre satellites ou débris de satellites, et les réactions en chaîne qui s’ensuivront (syndrome de Kessler), mettent en péril la continuité des opérations. Les infrastructures orbitales sont pourtant devenues absolument indispensables au capitalisme technologique et numérique et à nos sociétés en réseaux, si bien que l’extension du domaine des télécommunications spatiales demande à être régulée. Il en va de la préservation de la ressource et de la soutenabilité des activités spatiales à court et moyen termes.

Cette demande de rapport vise donc à faire le point sur ces évolutions et d’examiner dans quelle mesure le système d’allocation des fréquences contribue à la potentielle dégradation de l’environnement spatial.

Dans les trois mois à compter de la promulgation de la présente loi, le Gouvernement présente au Parlement un rapport sur l’allocation des fréquences face à l’encombrement de l’orbite basse.

Par cet amendement, le groupe parlementaire de la France insoumise propose de renforcer l’analyse des dépendances et des vulnérabilités des opérateurs d’importance vitale (OIV) en intégrant une approche globale de la sécurité, incluant la chaîne d’approvisionnement complète et la circulation des ressources humaines et matérielles, et notamment l’analyse des vulnérabilité de leurs sous-traitants.

Cette évaluation doit notamment prendre en considération la dépendance à des prestataires ou fournisseurs stratégiques, y compris pour les services de logistique, de maintenance et de numérique, les conditions d’accès aux infrastructures, aux systèmes d’information et aux données sensibles, en distinguant les accès permanents, temporaires ou à distance, les flux de mobilité du personnel intervenant sur plusieurs sites, ainsi que les risques associés au transport et au stockage hors site d’équipements ou de supports d’information.

Compléter la deuxième phrase de l’alinéa 32 par les mots :

« et de leurs sous-traitants, les modalités d’accès physiques ou numériques aux systèmes critiques, ainsi que les risques liés à la mobilité des personnes, des données ou des équipements. »

Le présent amendement vise à compléter la stratégie nationale de l’ANSSI en y intégrant une étude sur le développement d’un système de stockage de données souverain, où les opérations, de l’hébergement à la gestion, seraient réalisées en France, via une entreprise française, sous juridiction française. En effet, la souveraineté numérique ne peut être garantie que par la maîtrise de l’ensemble de la chaîne : infrastructures matérielles, équipements, logiciels et gouvernance des données.

Le rapport Lachaud-Valetta Ardisson sur la cyberdéfense souligne avec force l’impératif pour la France de disposer d’un espace de stockage souverain et sous juridiction nationale, afin de prévenir toute dépendance ou soumission à des puissances étrangères. Il est en effet nécessaire d’assurer la maîtrise de toute la chaîne d’information, en privilégiant l’usage des logiciels libres et la relocalisation des infrastructures critiques.

Cette exigence de souveraineté est d’autant plus actuelle qu’un méga-centre de données dédié à l’intelligence artificielle doit prochainement s’implanter sur le village de Fouju. Ce projet est financé en partie par le fonds émirati MGX. Une telle situation illustre concrètement les risques de dépendance stratégique, en exposant la France à une captation de ses données et à une mise en danger de sa souveraineté numérique.

Plus globalement, le groupe LFI estime que la stratégie nationale de cybersécurité ne saurait être pleinement efficiente que si les données stratégiques et sensibles sont gérées de manière souveraine, sous contrôle de l’État et exclusivement soumises à la juridiction française.

Après l’alinéa 9, insérer l’alinéa suivant :

« 5° quater Une étude sur le développement d’un système de stockage de données souverain dont les opérations, de l’hébergement à la gestion des données, seraient réalisées en France par l’intermédiaire d’une entreprise française sous juridiction française ; ».

Par cet amendement, le groupe LFI souhaite préciser les conditions d’enregistrement des noms de domaine par les offices et bureaux d’enregistrement.

L’article 19 renvoie le soin à un décret de fixer la liste des données collectées par les offices et bureaux d’enregistrement. Cet amendement de précision vise seulement à garantir l’application de l’article 28 de la directive NIS 2, en imposant que le décret prévoit aussi les procédures de vérification.

Dans l’objectif de mieux garantir la traçabilité des titulaires des noms de domaine, la directive NIS 2 propose aux pays membres de mettre en œuvre des procédures de vérification, d’une part pour corriger les données inexactes et d’autre part pour faciliter la transparence.

Cet amendement a été travaillé avec la Société Civile des Producteurs Phonographiques (SCPP).

Compléter l’alinéa 3 par les mots suivants :

« , et précise les procédures de vérification des données d’enregistrement des noms de domaine. »

Par cet amendement, le groupe LFI souhaite s'assurer que l'ensemble des informations relatives au titulaire du nom de domaine soit effectivement collectées par les bureaux et offices d'enregistrement, même lorsque les titulaires ont recours à des services tiers pour effectuer leur démarche.

En effet, certains titulaires ont recours à des services (services dits « proxy » ou services dits de « confidentialité ») pour anonymiser leurs données, ce qui rend plus difficile, voire impossible d'intenter concrètement des actions en justice contre eux le cas échéant. De nombreux acteurs, dont les droits (droits d'auteur, droit des consommateurs...) pourraient être bafoués par des acteurs numériques peu scrupuleux, seraient ainsi privés d'un droit à un recours effectif.

Cet amendement vise ainsi à éviter ces situations, d'autant plus que l'article 28 de la directive "NIS 2" prévoit la collecte des informations « du point de contact qui gère le nom de domaine, si ces coordonnées sont différentes de celles du titulaire » (point 2d. de l'article 28).

Cet amendement a été travaillé avec la Société Civile des Producteurs Phonographiques (SCPP).

Compléter l’alinéa 1 par les mots :

« y compris les données du point de contact qui gère le nom de domaine, si ces coordonnées sont différentes de celles du titulaire, notamment en cas de recours à des services permettant l’anonymisation des données d’enregistrement ».

Par cet amendement, le groupe LFI souhaite préciser la liste de données pouvant être collectées dans les bases d’enregistrement des noms de domaine, et ce afin de permettre une meilleure traçabilité de leurs créateurs et ainsi prévenir plus efficacement les usurpations de noms de domaine et faciliter le respect la propriété intellectuelle des contenus culturels en ligne.

L’article 19 renvoie à un décret le soin de préciser la liste des données pouvant être collectées dans les bases d’enregistrement des noms de domaine ; l’article 28 de la directive NIS 2 donne toutefois une liste non exhaustive des données devant être collectées. Cet amendement reprend, dans son dispositif, cette liste, en y ajoutant l’adresse postale du titulaire ou du point de contact qui seule permet d’adresser officiellement une assignation pour agir en justice.

Cet amendement a été travaillé avec la Société Civile des Producteurs Phonographiques (SCPP).

I. – Après l’alinéa 2, insérer les cinq alinéas suivants :

« La base des données d’enregistrement des noms de domaine comprend les informations suivantes :

« a) le nom de domaine ;

« b) la date d’enregistrement ;

« c) le nom du titulaire, l’adresse postale, l’adresse de courrier électronique et le numéro de téléphone permettant de le contacter ;

« d) l’adresse postale, l’adresse de courrier électronique et le numéro de téléphone permettant de contacter les points de contact associés au nom de domaine, si ces coordonnées sont différentes de celles du titulaire. ».

II. – En conséquence, à l’alinéa 3, substituer aux mots :

« la liste des données »,

les mots :

« , le cas échéant, la liste des données complémentaires ».

Par cet amendement, le groupe LFI souhaite s’assurer que les échanges d’informations couvertes par le secret soit limité au strict minimum et proportionnée à l’objectif du partage, afin d’assurer la meilleure protection possible des données qui en relèvent.

Cette précision légistique – qui reprend des dispositions déjà intégrées par voie d’amendement au Sénat à l’article 23 – est aujourd’hui d’autant plus nécessaire que nous assistons depuis de nombreuses années à une fragilisation de certains secrets protégés par la loi, comme celui de l’instruction et ce, toujours au nom d’un intérêt supposé supérieur qui justifierait de déroger aux principes les plus fondamentaux – dans ce cas, la lutte contre la cybermenace. Dans ce contexte, et puisque le paragraphe 13 de la directive NIS 2 prévoit une dérogation aux secrets protégés par la législation nationale dès lors que l’échange de ces informations est nécessaire à l’application de la directive, nous souhaitons encadrer le plus possible cette possibilité en prévoyant que cet échange se limite au strict nécessaire et soit proportionné au but recherché.

Après la seconde phrase de l’alinéa 1, insérer la phrase suivante :

« Les informations échangées se limitent au minimum nécessaire et sont proportionnées à l’objectif du partage. »

Par cet amendement, le groupe LFI réaffirme l’importance attachée à la protection des données sensibles et notamment les données à caractère personnel.

Autorité administrative indépendante, la commission nationale de l’informatique et des libertés (CNIL) joue un rôle de référence en matière de protection des données à caractère personnel contenues dans les fichiers et traitements informatiques ou papier, aussi bien publics que privés. L’une de ses principales missions est de conseiller les pouvoirs publics en matière de conformité au droit existant en la matière : dans ce contexte, il nous semble donc indispensable d’associer la CNIL à l’élaboration du décret en Conseil d’État prévoyant les informations à transmettre par les entités essentielles, entités importantes et bureaux d’enregistrement (dont de nombreuses données à caractère personnel telles que l’identité et les coordonnées de leurs responsables) afin d’assurer le meilleur niveau possible de protection de leurs données personnelles.

Compléter l'alinéa 2 par les mots :

« pris après avis de la commission nationale de l’informatique et des libertés telle que définie par la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. »

Par cet amendement, le groupe LFI souhaite s’assurer que les moyens qui seront alloués à l’ANSSI sont adéquats avec les missions qui lui seront confiées, notamment au regard de l’élargissement de son rôle dans les années à venir et des évolutions rapides du secteur du numérique, qui justifient également la fourniture d’un rapport annuel sur la mise en place de la stratégie nationale de cybersécurité, plutôt que bisannuel.

À compter de 2026 et tous les ans, le Gouvernement remet au Parlement, avant le 30 septembre des années concernées, un rapport sur la mise en œuvre de la stratégie nationale en matière de cybersécurité, qui précise les moyens humains, techniques et financiers mis à sa disposition pour l’exercice de ses missions de contrôle et d’audit. Il évalue également les besoins à venir au regard de l’élargissement du périmètre des entités concernées par la présente loi.

Par cet amendement, les député.es du groupe LFI souhaitent mieux encadrer la collecte de données par les agents de l’Anssi.

Le contrôle effectué par l’Anssi – ainsi que par les organismes indépendants – est particulièrement intrusif (accès aux données sensibles et personnelles, secret professionnel non opposable, etc.). Dès lors, et dans la mesure où des organismes privés peuvent avoir accès à ces données, il paraît nécessaire d’ajouter une limite supplémentaire, restreignant les documents pouvant être stockés par les agents. Dès qu’il apparaît qu’un document ou élément n’est pas utile pour l’instruction, il ne peut être gardé ou retranscrit par l’Anssi.

Par cet amendement nous ne souhaitons pas protéger certains grands groupes en tant que tels. Nous souhaitons garantir un contrôle mieux encadré et respectueux des libertés fondamentales et notamment la vie privée en ce qui concerne l’accès à des données à caractère personnel.

Après l’alinéa 7, insérer l’alinéa suivant :

« Seuls les documents et éléments nécessaires à l’instruction peuvent être enregistrés, retranscrits ou copiés. Tout autre document, ou éléments enregistrés, retranscrits ou recopiés sont supprimés sans délai à partir du moment où il est constaté qu’ils ne sont plus nécessaires à l’instruction. »

Par cet amendement, le groupe LFI souhaite renforcer le contrôle exercé par l’État sur les contrats de concession relatifs à la gestion d’infrastructures critiques. Dans un contexte de montée des tensions géopolitiques, de menaces hybrides et de dépendances stratégiques, il est essentiel de garantir la souveraineté de la France sur les secteurs les plus sensibles.

Cet objectif suppose une vigilance particulière à l’égard des modalités de sous-traitance, afin d’écarter tout acteur ou toute technologie susceptible de compromettre la sécurité, la continuité d’activité ou la confidentialité des données. Il passe aussi par la favorisation d’acteurs économiques basés en France, mesure qui permettrait de réduire les vulnérabilités de la France vis-à-vis d’acteurs économiques étrangers.

En imposant l’intégration de clauses de sécurité dans ces contrats, le présent amendement permet de préserver les intérêts fondamentaux de la Nation, tout en favorisant une chaîne de sous-traitance compatible avec les exigences de loyauté, de transparence et d’autonomie stratégique. Il s’inscrit dans une démarche de consolidation de la résilience industrielle française et de protection de notre souveraineté économique.

Après l’alinéa 105, insérer l’alinéa suivant :

« Ces contrats ne peuvent être conclus qu’à la condition que l’État conserve un pouvoir de contrôle effectif sur les opérateurs et les sous-traitants, notamment par la mise en place de clauses contractuelles assurant la souveraineté, la sécurité des données et la maîtrise stratégique des capacités essentielles. Dans l’attribution des contrats, le recours à des entités ayant leurs activités et leurs données basées en France, ainsi qu’une moindre vulnérabilité dans leur chaîne d’approvisionnement doit être recherché. »

Par cet amendement, le groupe LFI souligne la nécessité d’allouer suffisamment de moyens à l’Agence nationale de la sécurité des systèmes d’information (Anssi) afin qu’elle puisse concrètement faire appliquer les nouvelles dispositions issues de la transposition de la directive NIS 2 en droit interne.

Lors de l’examen du PLF 2025 au Sénat, l’Anssi avait demandé à l’origine un budget de 35 M€ et 60 emplois supplémentaires pour avoir les moyens d’appliquer les dispositions du présent PJL, mais n’avait finalement eu que 27 M€, sans aucun temps plein supplémentaire (l’équivalent de l’Anssi en Allemagne dispose en 2024 d’un budget annuel de 237,9 M€ et de 1784 agents). Dans ce contexte, ce rapport permettra d’identifier précisément les manques au sein des différents services de l’Anssi et proposera le cas échéant, des pistes pour y remédier.

Dans un délai de six mois à compter de la promulgation de la présente loi, le Gouvernement remet au Parlement un rapport présentant les moyens humains et financiers supplémentaires indispensables pour que l'Agence nationale de la sécurité des systèmes d'information puisse contrôler l'application et l'effectivité des dispositions contenues dans la présente loi.

Par cet amendement, le groupe LFI veut compléter les grandes missions de l’ANSSI. L’article 5 prévoit qu’elles seront précisées par décret ; toutefois, il en mentionne explicitement certaines, comme « l’accompagnement de la filière cybersécurité ». Cet amendement de précision vise donc à sanctuariser la présence de certaines missions de l’ANSSI dans la loi.

La directive NIS II enjoint les États à adopter des mesures des politiques de promotion de la cyberprotection active, qui consiste en la prévention, la détection, la surveillance, l’analyse et l’atténuation actives des violations de la sécurité du réseau, combinées à l’utilisation de capacités déployées à l’intérieur et en dehors du réseau de la victime. La directive enjoint également les États à développer des « services ou des outils gratuits à certaines entités, y compris des contrôles en libre-service, des outils de détection et des services de retrait. », arguant que « la capacité de partager et de comprendre rapidement et automatiquement les informations et les analyses sur les menaces, les alertes de cyberactivité et les mesures d’intervention est essentielle pour permettre une unité d’effort dans la prévention, la détection, le traitement et le blocage des attaques ciblant des réseaux et systèmes d’information ».

Le politiques de cyberhygiène comportent quant à elles « une base commune de pratiques incluant les mises à jour logicielles et matérielles, les changements de mot de passe, la gestion de nouvelles installations, la restriction des comptes d’accès de niveau administrateur et la sauvegarde de données, facilitent la mise en place d’un cadre proactif de préparation ainsi que de sécurité et de sûreté globales permettant de faire face aux incidents ou aux cybermenaces ».

L’ANSSI fournit quelques ressources et guides de bonnes pratiques en la matière sur son site internet. La numérisation de l’économie et de nos modes de vie a toutefois un impact majeur sur nos sociétés ; les enjeux d’éducation aux bonnes pratiques numériques et à la lutte contre l’illectronisme sont de ce fait devenus des enjeux de politiques publiques majeures, qu’il convient de traiter comme tels en les inscrivant formellement dans la loi le rôle de l’État en matière de cyberprotection et de cyberhygiène.

Compléter la seconde phrase de l’alinéa 3 par les mots :

« ainsi que la promotion de la cyberprotection et de la cyberhygiène et de l’éducation aux bonnes pratiques numériques. »

Par cet amendement, les député.es LFI souhaitent mettre un délai maximal à la sanction touchant le dirigeant d’une entité essentielle.

L’article propose de sanctionner directement la personne dirigeant l’entité essentielle, lorsque toutes les autres sanctions n’ont pas été suivies d’effet permettant de remédier aux manquements décelés lors du contrôle

Cet amendement vise à garantir la proportionnalité de la sanction prononcée en intégrant une durée maximale de la sanction. En effet, sans limite ab initio, la sanction ne peut être constitutionnellement considérée comme adaptée.

Ce type de sanction administrative doit être manié avec parcimonie. Nous nous opposons de manière générale au recours tout azimut aux sanctions administratives. En l’espèce, le recours à la sanction administrative permet d’agir rapidement, cependant cette sanction doit être proportionnée.

Par conséquent nous proposons une limite de deux ans maximum.

À l’alinéa 1, après le mot : 

« titre »

insérer les mots suivants :

« ou au plus tard deux ans après l’interdiction ».

Le présent amendement vise à supprimer la possibilité offerte aux fournisseurs de services numériques critiques établis hors de l’Union européenne de se soustraire à l’obligation d’établissement réel sur le territoire national, en se limitant à la désignation d’un simple représentant local.

En effet, l’alinéa concerné autorise que des acteurs clés du numérique — tels que les fournisseurs de services de système de noms de domaine, d’informatique en nuage, d’hébergement, de diffusion de contenu, ou encore les plateformes de réseaux sociaux — puissent se conformer aux obligations réglementaires françaises sans disposer d’une implantation effective et contrôlable en France. Cette disposition fragilise la capacité des autorités à exercer un contrôle opérationnel sur ces services essentiels, en particulier dans un contexte où la souveraineté numérique et la protection des infrastructures critiques sont des priorités nationales.

La désignation d’un simple représentant local constitue un contournement déconnecté de la réalité opérationnelle, qui ne garantit ni la maîtrise directe des infrastructures, ni la responsabilité pleine et entière de l’opérateur face aux exigences françaises. Par ailleurs, elle peut servir à contourner les règles nationales, tout en maintenant ces acteurs soumis à des législations extraterritoriales, telles que le Cloud Act ou le Patriot Act américains, pouvant engendrer des risques de fuite de données ou d’ingérence.

Par conséquent, la suppression de cette possibilité est indispensable pour garantir une obligation d’établissement effectif en France, condition sine qua non à l’exercice d’un contrôle robuste, transparent et efficient sur ces acteurs numériques systémiques. Cette exigence favorise un cadre de régulation équitable, assurant que les opérateurs français, européens et étrangers respectent des normes comparables, dans un souci d’égalité de traitement et de protection renforcée des intérêts stratégiques nationaux.

Enfin, renforcer cette obligation constitue un levier majeur pour consolider la souveraineté numérique de la France, en assurant la disponibilité, la sécurité et la résilience des services numériques essentiels, et en évitant que des fournisseurs extérieurs échappent à la responsabilité pleine et entière que requiert leur rôle dans l’écosystème numérique national.

I. – À la fin de l’alinéa 6, substituer aux mots : 

« ils ont désigné un représentant établi sur le territoire national. » 

les mots : 

« ils sont établis de façon effective sur le territoire national. »

II. – En conséquence, au début de l’alinéa 10, substituer aux mots : 

« Ou ceux qui ont désigné un représentant établi sur le territoire national » 

les mots : 

« Ou ceux qui sont établis de façon effective sur le territoire national ».

Par cet amendement de coordination, le groupe LFI réaffirme son souhait de mieux protéger le secteur de l’éducation face aux nouvelles menaces de cybersécurité.

L’école est aujourd’hui une cible privilégiée des pirates informatiques, et ce, pour plusieurs raisons. Tout d’abord, les établissements scolaires du 2^nd degré sont amenés à traiter de nombreuses données personnelles (inscriptions scolaires, environnement numérique de travail, suivi infirmier des élèves...) dont le vol peut engendrer des conséquences dramatiques pour les personnes concernées. De plus, les établissements scolaires – faute de budget suffisant – ont des infrastructures numériques largement obsolètes, ce qui en fait des proies faciles. Cette situation, couplée à un manque de formation évident des personnels de l’Éducation nationale sur ces enjeux, transforment les établissements scolaires en cibles privilégiées. Ainsi, la presse ne cesse de se faire l’écho depuis de nombreuses années de la recrudescence des cyberattaques contre les écoles. Face à cette situation, les pouvoirs publics tentent de réagir : la CNIL a publié le 15 mai 2025 deux nouveaux guides à destination des délégués à la protection des données, des directeurs d’école, des chefs d’établissement et du personnel administratif pour les aider à réagir en cas de violation de données personnelles, et de nombreuses initiatives gouvernementales sont mises en œuvre pour sensibiliser les élèves à la nécessité de protéger leurs données scolaires personnelles. A titre d’illustration, l’opération « CACTUS » a été déployée au niveau national en mars 2025 : 2,5 millions de collégiens et lycéens ont été invités à cliquer sur un lien diffusé via leurs espaces numériques de travail ENT les incitant à se procurer gratuitement des « jeux crackés et des cheats gratuits » (c’est-à-dire des moyens de triche en français). Parmi eux, 210 000 (soit près d’un sur 12) ont cliqué sur le lien et été redirigés vers le message de sensibilisation.

Par conséquent, l’inscription des établissements du 2^nd degré parmi les « entités importantes » au titre du présent projet de loi permettra de renforcer le niveau de protection des établissements concernés – au bénéfice des élèves, des personnels de l’Éducation nationale et du bon fonctionnement des établissements.

Après l’alinéa 6, insérer l’alinéa suivant :

« 5° bis Les établissements publics locaux d’enseignement, au sens de l’article L. 421‑1 du code de l’éducation ; ».

Par cet amendement, le groupe LFI souhaite s’assurer que les collectivités territoriales concernées par les dispositions du titre II du présent projet de loi – celles étant classées comme « entités essentielles » ou « entités importantes » – aient suffisamment de moyens pour mettre concrètement en oeuvre les nouvelles obligations de cybersécurité qui leur incombent.

Selon un rapport du cabinet Idate rendu public au mois de novembre 2024, le coût pour l’ensemble des collectivités territoriales des solutions de sécurité nécessaires à leur mise en conformité avec la directive NIS 2 s’élèverait à 690 millions d’euros par an. S’y ajouteraient 105 millions d’euros par an au titre de l’embauche et de la formation de ressources humaines qualifiées. Soit un total estimé à environ 795 millions d’euros par an. Or, dans un contexte toujours plus austéritaire, la question de la capacité des collectivités territoriales à entreprendre les investissements nécessaires se pose inévitablement. Ainsi, lors de son audition au Sénat dans le cadre de l’examen du texte, l’Association des départements de France (ADF) indiquait déjà que les crédits dédiés à l’informatique pourraient être, en 2025, amputés de l’ordre de 30 % à 50 % en moyenne dans la plupart de ces collectivités. A moyen constant, le coût de la mise en place de ces nouvelles obligations représenteraient un fardeau qui obligeraient les collectivités concernées à faire des choix budgétaires dont les conséquences pourraient être catastrophiques. Par conséquent, ce rapport permettra de faire un état des lieux précis des capacités financières des collectivités territoriales concernées par les nouvelles obligations de cybersécurité et de proposer, le cas échéant, des pistes de financements complémentaires pour leur permettre d’y faire face.

Dans un délai de six mois à compter de la promulgation de la présente loi, le Gouvernement remet au Parlement un rapport sur les moyens alloués aux collectivités territoriales classées comme entités essentielles ou entités importantes afin de leur permettre de mettre en place les mesures de cyberprotection prévues au titre du présent projet de loi.

Par cet amendement d’appel, le groupe parlementaire de la France insoumise souhaite alerter sur les effets de seuil prévus par cet article pour désigner des entités essentielles.

Bien que l’article 10 octroie un pouvoir discrétionnaire au Premier ministre pour désigner des entités essentielles, une définition plus générale permettrait de mieux appréhender la multitude des acteurs relevant de secteurs hautement critiques sans s’attarder sur la taille de ces derniers et ainsi d’améliorer la prévention des risques.

En effet, dans les secteurs hautement critiques – tels que l’énergie, les transports, la santé, la cybersécurité, la défense ou l’alimentation –, de nombreuses structures de petite taille peuvent occuper des fonctions clés, parfois irremplaçables. Il peut s’agir d’entreprises assurant la maintenance d’un composant stratégique, de PME spécialisées dans un savoir-faire technologique de niche, ou encore de fournisseurs uniques au sein de chaînes d’approvisionnement sensibles. Leur disparition ou leur compromission, même ponctuelle, pourrait entraîner des ruptures majeures ou des vulnérabilités systémiques, sans que leur poids économique apparent ne reflète leur importance stratégique.

En maintenant des seuils quantitatifs (effectifs, chiffre d’affaires, bilan), le droit actuel risque donc de laisser hors champ de la réglementation de cybersécurité des entités pourtant critiques, simplement parce qu’elles ne remplissent pas les critères formels. Cette approche peut engendrer des angles morts dans la cartographie des risques, affaiblir la résilience globale de certains secteurs, et créer un faux sentiment de sécurité en concentrant l’effort réglementaire sur les seuls grands acteurs visibles.

À l’inverse, une approche fondée sur la nature des activités exercées et sur la fonction réelle de l’entreprise dans l’écosystème stratégique permettrait une identification plus pertinente et plus ciblée des entités essentielles. Elle renforcerait la logique de sécurité intégrée, tout en donnant aux autorités compétentes la capacité d’adapter leur vigilance aux réalités opérationnelles.

Cet amendement contribue ainsi à une approche qualitative et fonctionnelle de la résilience, mieux adaptée à l’architecture complexe des chaînes critiques contemporaines. Il répond également à la nécessité, maintes fois soulignée par l’ANSSI, de prendre en compte les interdépendances industrielles, les nœuds logistiques sensibles et les externalités technologiques, quels que soient le statut ou la taille des acteurs impliqués.

En somme, il s’agit de garantir que la politique de cybersécurité et de résilience ne laisse aucun maillon critique de côté, et que la protection des infrastructures essentielles repose sur une évaluation fine des rôles et responsabilités, plutôt que sur des indicateurs purement économiques.

L’identification du caractère critique d’une entreprise doit donc reposer sur la nature de ses activités et sa place dans l’écosystème stratégique, non sur des critères financiers ou de taille, qui peuvent conduire à de graves angles morts dans la protection des infrastructures essentielles.

À l’alinéa 4, après le mot :

« électroniques »,

supprimer la fin de l’alinéa.

Par cet amendement d’appel, le groupe parlementaire de la France insoumise souhaite élargir à l’ensemble des collectivités le statut d’entité essentielle.

Bien que l’article 10 octroie un pouvoir discrétionnaire au Premier ministre pour désigner ces collectivités comme entité essentielle, les seuils ne paraissent pas pertinents pour entamer une véritable politique publique globale de résilience et de cybersécurité des structures publiques.

Le présent amendement vise à supprimer le seuil démographique de 30 000 habitants actuellement requis pour considérer une collectivité territoriale comme une entité essentielle dans le cadre de la cybersécurité et de la résilience nationale. Ce critère purement quantitatif se révèle inadapté à la réalité des risques contemporains, et à la diversité des contextes territoriaux.

En effet, de nombreuses communes ou intercommunalités de taille modeste jouent un rôle structurant dans la sécurité et le fonctionnement de services critiques. Elles peuvent :

– héberger des installations sensibles (barrages, centrales hydroélectriques, dépôts de munitions, infrastructures industrielles classées, réseaux de télécommunication ou d’énergie) ;

– gérer des services vitaux (eau potable, assainissement, services de secours, centres hospitaliers ou médico-sociaux) dans des zones où leur vulnérabilité pourrait avoir des effets en cascade sur l’ensemble du bassin de vie ou de production ;

– ou encore constituer des points d’entrée pour des attaques hybrides, visant à désorganiser des chaînes logistiques, déstabiliser la gouvernance locale ou compromettre la sécurité nationale à partir d’une faille périphérique.

Dans ces cas, la taille démographique de la collectivité n’est pas un indicateur pertinent de sa criticité fonctionnelle. Une commune de 5 000 habitants peut être bien plus stratégique qu’une ville moyenne si elle abrite une infrastructure classée Seveso, un nœud de transport ferroviaire, une base militaire, un datacenter ou un site d’importance vitale.

Le maintien du seuil de 30 000 habitants crée donc des zones grises juridiques, où des entités objectivement critiques sont exclues du périmètre de vigilance, et donc des dispositifs de protection, de notification ou d’assistance. Cela affaiblit la cohérence de l’architecture de résilience prévue par le projet de loi, et entrave la capacité de l’État à organiser une défense territoriale complète et intégrée face aux menaces cyber, technologiques ou informationnelles.

En supprimant ce seuil, l’amendement permet une prise en compte fondée sur les fonctions exercées, la nature des services hébergés ou la criticité des infrastructures gérées. Il s’inscrit dans une logique d’analyse contextuelle des risques, plus fine, plus souple et plus efficace, tout en assurant une meilleure coordination entre l’État, les collectivités et les opérateurs privés ou publics.

À l’alinéa 10, supprimer les mots :

« , d’une population supérieure à 30 000 habitants ».

Par cet amendement, le groupe LFI souhaite rétablir l’obligation de notification d’incident à l’ANSSI pour les entités également soumises au titre du II du présent projet de loi, et ce afin de renforcer leur niveau de cybersécurité et d’accès éventuel à une assistance de la part de l’ANSSI.

L’article 43 A désigne la Banque de France et l’Autorité de contrôle prudentiel et de régulation (ACPR) comme seules autorités compétentes pour exercer les missions et fonctions prévues par le règlement DORA dans le titre III du présent PJL, et ce afin afin d’éviter les doublons avec l’ANSSI, qui reste l’autorité administrative de contrôle pour les entités assujeties à NIS II.

Toutefois, l’ACPR n’effectue pas une veille permanente, à l’inverse de l’ANSSI dont les services peuvent être mobilisés à tout moment, y compris donc les week-ends. Or, les entités financières peuvent être attaquées à tout moment, de jour comme de nuit, n’importe quel jour ; Il est donc essentiel de maintenir la notification auprès de l’ANSSI, qui assure déjà une veille permanente et est donc plus à même de réagir rapidement en cas de menace avérée à la suite d’une notification d’incident.

Lors des débats au Sénat, l’argument invoqué pour ne pas rendre obligatoire la notification d’incidents à l’ANSSI était la « simplification » ; or, la transmission des informations aux deux entités ne semble pas alourdir outre-mesure la procédure au vu des enjeux de cybersécurité invoqués.

La formulation souple retenue ici permet donc d’inclure l’ANSSI dans les autorités compétentes chargées de l’application du règlement DORA.

I. – Au début de l’alinéa 3, substituer aux mots :

« La Banque de France exerce les fonctions et missions prévues à l’article 19 »,

les mots :

« La Banque de France et l’Autorité nationale des systèmes de sécurité informatique veillent au respect ».

II. – En conséquence, à l’alinéa 5, substituer aux mots :

« L’Autorité de contrôle prudentiel et de résolution exerce les fonctions et missions prévues à l’article 19 »,

les mots :

« L’Autorité de contrôle prudentiel et de résolution et l’Autorité nationale des systèmes de sécurité informatique veillent au respect ».

Par cet amendement du groupe LFI, nous souhaitons étendre le champ des activités concernées par l’article 7, en ajoutant le secteur des satellites et leurs opérateurs parmi les secteurs d’activités considérés comme hautement critique pour la cybersécurité.

Les plateformes satellites constituent une infrastructure essentielle dans le fonctionnement des systèmes d’information et de télécommunication. Quel que soit le statut officiel des missions, qu’elles relèvent d’activités civiles, militaires et/ou duales, elles revêtent un intérêt stratégique majeur. C’est pourquoi leur inclusion dans le périmètre des activités hautement critiques est nécessaire.

Après l’alinéa 11, insérer l’alinéa suivant :

« 11° Des satellites et de leurs opérateurs. »

Par cet amendement d’appel, le groupe parlementaire de la France insoumise souhaite alerter sur les effets de seuil prévus par cet article pour désigner des entités essentielles.

Bien que l’article 10 octroie un pouvoir discrétionnaire au Premier ministre pour désigner des entités essentielles, une définition plus générale permettrait de mieux appréhender la multitude des acteurs relevant de secteurs hautement critiques sans s’attarder sur la taille de ces derniers et ainsi d’améliorer la prévention des risques.

En effet, dans les secteurs hautement critiques – tels que l’énergie, les transports, la santé, la cybersécurité, la défense ou l’alimentation –, de nombreuses structures de petite taille peuvent occuper des fonctions clés, parfois irremplaçables. Il peut s’agir d’entreprises assurant la maintenance d’un composant stratégique, de PME spécialisées dans un savoir-faire technologique de niche, ou encore de fournisseurs uniques au sein de chaînes d’approvisionnement sensibles. Leur disparition ou leur compromission, même ponctuelle, pourrait entraîner des ruptures majeures ou des vulnérabilités systémiques, sans que leur poids économique apparent ne reflète leur importance stratégique.

En maintenant des seuils quantitatifs (effectifs, chiffre d’affaires, bilan), le droit actuel risque donc de laisser hors champ de la réglementation de cybersécurité des entités pourtant critiques, simplement parce qu’elles ne remplissent pas les critères formels. Cette approche peut engendrer des angles morts dans la cartographie des risques, affaiblir la résilience globale de certains secteurs, et créer un faux sentiment de sécurité en concentrant l’effort réglementaire sur les seuls grands acteurs visibles.

À l’inverse, une approche fondée sur la nature des activités exercées et sur la fonction réelle de l’entreprise dans l’écosystème stratégique permettrait une identification plus pertinente et plus ciblée des entités essentielles. Elle renforcerait la logique de sécurité intégrée, tout en donnant aux autorités compétentes la capacité d’adapter leur vigilance aux réalités opérationnelles.

Cet amendement contribue ainsi à une approche qualitative et fonctionnelle de la résilience, mieux adaptée à l’architecture complexe des chaînes critiques contemporaines. Il répond également à la nécessité, maintes fois soulignée par l’ANSSI, de prendre en compte les interdépendances industrielles, les nœuds logistiques sensibles et les externalités technologiques, quels que soient le statut ou la taille des acteurs impliqués.

En somme, il s’agit de garantir que la politique de cybersécurité et de résilience ne laisse aucun maillon critique de côté, et que la protection des infrastructures essentielles repose sur une évaluation fine des rôles et responsabilités, plutôt que sur des indicateurs purement économiques.

L’identification du caractère critique d’une entreprise doit donc reposer sur la nature de ses activités et sa place dans l’écosystème stratégique, non sur des critères financiers ou de taille, qui peuvent conduire à de graves angles morts dans la protection des infrastructures essentielles.

À l’alinéa 2, après le mot :

« critiques »,

supprimer la fin de l’alinéa.

Par cet amendement, le groupe LFI souhaite développer le partage d’informations entre les entités financières et les agences chargées de la gestion de leurs incidents de cybersécurité en systématisant également la notification de cybermenaces lorsque celles-ci sont identifiées par les entités financières.

Le règlement DORA ne prévoit qu’une notification volontaire des cybermenaces importantes de la part des entités financières. Cet amendement vise à systématiser cette notification, qui pourrait permettre de prévenir d’éventuelles incidents avec la détection en amont des principales cybermenaces pouvant menacer les entités financières.

Les entités financières citées dans les articles 43 A et 45 bis soumettent à l’Agence nationale des systèmes de sécurité informatique ainsi qu’aux autorités compétentes chargées de veiller au respect du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, leurs notifications de cybermenaces importantes. 

Par cet amendement, le groupe parlementaire de la France insoumise souhaite inclure la prise en compte des risques psychosociaux et organisationnels des agents en situation de stress élevé en précisant les obligations prévues à l’article L. 2151 4 du code de la défense, élargissant explicitement le périmètre des plans de continuité ou de rétablissement d’activité exigés des opérateurs. Il s’agit d’y intégrer, aux côtés des éléments techniques et matériels déjà requis, une dimension humaine et organisationnelle, indispensable à la résilience effective des entités critiques.

Dans un contexte d’intensification des menaces – qu’il s’agisse d’attaques cyber, de déstabilisation géopolitique, de catastrophes naturelles ou de défaillances en chaîne – les crises mettent à l’épreuve non seulement les systèmes mais aussi les structures humaines qui les soutiennent. L’expérience récente (crise sanitaire, événements climatiques extrêmes) a démontré que l’absentéisme, la désorganisation managériale ou l’épuisement professionnel peuvent gravement compromettre la continuité de services pourtant techniquement robustes.

L’amendement vise ainsi à imposer aux opérateurs d’importance vitale (OIV) et aux entités critiques des dispositifs visant à protéger les personnes travaillant en leur sein.

Il s’inscrit dans une logique de résilience globale, conforme aux standards internationaux en matière de gestion de crise, et en cohérence avec les recommandations émises par plusieurs autorités de régulation et agences nationales de sécurité.

Compléter l’alinéa 24 par la phrase :

« Ces mesures doivent notamment intégrer des dispositifs prenant en compte les risques psychosociaux auxquels sont soumis les employés des opérateurs d’importance vitale face aux différents scénarios de crises envisagés. »

Par cet amendement, le groupe LFI souligne la nécessité de recourir dans la mesure du possible aux logiciels libres et aux services de cloud réversibles afin de renforcer la sécurité des données collectées.

En effet, l’usage de logiciels libres présente de nombreux atouts : représentant un coût minime, voire nul, les logiciels libres sont très flexibles (ils peuvent être modifiés et personnalisés facilement pour répondre à des besoins spécifiques), plus transparents (code en libre accès), éthique (leurs utilisateurs peuvent s’assurer qu’ils ne contribuent pas à une propriété intellectuelle restrictive et à la surveillance des utilisateurs, ce qui peut être le cas dans les logiciels propriétaires) mais surtout plus sûrs, car ils sont souvent examinés par une communauté de développeurs spécialisée qui peut identifier et corriger les vulnérabilités signalées par les utilisateurs plus rapidement qu’avec les logiciels propriétaires. Quant aux services de cloud réversibles, ils permettent à ses utilisateurs de préserver leur autonomie technologique et d’assurer leur sécurité en leur donnant la faculté de récupérer les données stockées à tout moment, notamment d’un fournisseur de cloud qui ne respecterait pas les exigences minimums de protection des données personnelles collectées (comme les services clouds américains et la législation américaine qui permet au Gouvernement américain d’avoir accès à tout moment aux données stockées par ces derniers, même en Europe) à un autre qui les respecterait.

Dans ce contexte, nous considérons que les administrations publiques devraient s’appuyer sur ces outils libres et transparents pour assurer au mieux la protection des données personnelles qu’ils collectent dans le cadre de leurs activités, garantissant ainsi les droits fondamentaux des citoyens et la souveraineté technologique européenne.

Afin de préserver la sécurité et l’indépendance de leurs systèmes d’information, les administrations publiques mentionnées aux alinéas 8 à 16 de l’article 8 du présent projet de loi utilisent en priorité des logiciels libres et des services de l’informatique en nuage réversibles.

La mise en œuvre par l’administration d’un logiciel non libre ou d’un service de l’informatique en nuage non réversible n’est autorisée que lorsque l’évaluation comparative de nature technique et économique démontre qu’il est impossible d’accéder à des solutions libres ou à des solutions déjà développées au sein de l’administration publique équivalentes en matière de fonctionnalités, de coût total et de cybersécurité. L’évaluation visée au présent paragraphe est effectuée conformément aux procédures et aux critères définis par la direction interministérielle du numérique, qui, à la demande des parties intéressées, émet également un avis sur leur conformité.

La direction interministérielle du numérique développe une stratégie pour l’utilisation, le développement et la commande de logiciels libres au sein de l’administration publique.

Par cet amendement, le groupe LFI souhaite que le décret d’application encadrant les enquêtes administratives de sécurité pour l’accès aux points et systèmes d’information d’importance vitale soit pris après avis de la CNIL.

Le présent PJL modifie l’article L. 1332‑6 du code de la défense dans une nouvelle rédaction qui prévoit l’élargissement du champ des enquêtes administratives de sécurité aux accès à distance aux Point d’Importance Vitale (PIV), ainsi qu’aux Systèmes d’Information d’Importance Vitale (SIIV). Il prévoit ainsi qu’avant d’accorder une autorisation d’accès physique ou informatique à un PIV ou un SIIV, un OIV peut demander l’avis de l’autorité administrative compétente dans les conditions prévues par l’article L. 114‑1 du code de la Sécurité Intérieure, selon des modalités précisées par décret.

Les enquêtes administratives prévues par l’article L. 114‑1 du CSI prévoient notamment la possiblité de consulter du bulletin n° 2 du casier judiciaire et de traitements automatisés de données à caractère personnel relevant de l’article 31 de la loi n° 78‑17 du 6 janvier 1978, qui contient une partie des condamnations pénales des personnes visées et est généralement demandé pour les emplois amenant à être en contact avec des personnes mineures.

L’avis de la CNIL permettrait ainsi de motiver davantage les demandes d’enquêtes administratives, qui peuvent entraîner la consultation de données personnelles à caractère sensible.

Compléter l’alinéa 40 par les mots :

« , pris après avis de la Commission nationale de l’informatique et des libertés ». 

Cet amendement est une demande de rapport dans sur l’état du réseau de l’ANSSI dans les territoires ultra-marins. Lors des auditions préalable à l’étude de ce projet de loi, M. Alexandre Ventadour, conseiller territorial de Martinique, chargé du numérique et du développement économique à Régions de France a exposé les préoccupations majeures partagées par l’ensemble des collectivités et régions concernant l’accompagnement des collectivités humainement et financièrement et la résilience face aux attaques. En effet, il y a deux ans, la Martinique a dû faire face à une cyberattaque ayant mis à mal l’organisation de la collectivité territoriale. M. Ventadour expliquait alors ceci : “Plus largement, les outre-mer ne disposent pas forcément des ressources en interne. Lorsque la Martinique a subi cette cyberattaque, je me souviens avec émotion avoir vu débarquer une équipe d’une douzaine de techniciens – notamment de l’Anssi – pour venir à notre secours, mais ils n’ont pas pu rester pendant toute la durée du sinistre. Nous avons donc été contraints de fonctionner ensuite à distance." Cet exemple montre bien que les territoires éloignés de l'Hexagone ne sont pas forcément armés pour résister à de telles attaques.
Ainsi, il semble essentiel que ce rapport produise un état des vulnérabilités touchant particulièrement ces territoires afin que le gouvernement y réponde par la loi, et par des moyens supplémentaires.

Dans les six mois à compter de la promulgation de la présente loi, le Gouvernement remet au Parlement un rapport sur l’état des menaces et des vulnérabilités touchant les territoires ultra-marins dans le domaine de la cyber sécurité, et établit un panel de solutions humaines et financières, dressées en lien avec les collectivités, pour y répondre.

Par cet amendement, les député.es du groupe LFI souhaitent exclure les « organismes indépendants » du pouvoir de contrôle.

L’article 26 étend les pouvoirs de l’Anssi à la recherche et à la constatation des manquements à la réglementation et des infractions en matière de cybersécurité en l’étendant à l’ensemble des obligations concernant la supervision et la cyberrésilience. De plus, l’article permet à l’Anssi de faire appel à des « organismes indépendants » dont les agents seraient habilités par cette première, pour mener à bien ces missions de contrôle. Le contrôle qui est exercé est particulièrement intrusif, il permet d’accéder à des données sensibles et personnelles, le secret professionnel n’est pas opposable, etc.

Le recours à de tels organismes pose donc plusieurs problèmes :

Un risque d’indépendance et d’ingérence. Bien que Vincent Strubel assurait aux députés en juillet lors des auditions, que « l’Anssi [avait] recours à des prestataires qualifiés qui apportent l’ensemble des garanties nécessaires », un tel propos n’est pas suffisant. D’une part la gestion du risque d’ingérence est particulièrement lourde, et doit être permanente. Ainsi, en multipliant les acteurs, l’Anssi se retrouver à devoir contrôler les organismes indépendants en amont et régulièrement. C’est un non sens !

D’autre part, les données auxquelles ont accès les organismes indépendants sont particulièrement sensibles et il est impossible pour l’Anssi de contrôler à chaque instant l’usage qui sera fait par ces organismes de ces données.

Nous défendons une augmentation des moyens de l’Anssi, pour lui donner le personnel et le matériel nécessaire à assurer la mission de contrôle qui lui incombe. Le recours aux prestataires privés ne peut être une solution viable lorsque cela concerne des enjeux d’indépendance et de souveraineté.

Ainsi cet amendement vise à centraliser le pouvoir de contrôle aux seules mains de l’Anssi et des services étatiques compétents.

I- Au début de l’alinéa 1, insérer le mot suivant : 

« Seuls » ;

II- En conséquence, supprimer l’alinéa 7.

Par cet amendement du groupe LFI, nous souhaitons questionner la capacité des sous traitants des opérateurs d’importance vitale (OIV) à faire face financièrement à la menace cyber. Cet amendement est en réalité tiré des préconisations du rapport sur la cyberdéfense de M. Bastien Lachaud et de Mme Alexandre Valetta-Ardisson. Le rapport appelle à établir une cartographie stricte des entreprises et des compétences critiques de la base industrielle et technologique de défense. Cette cartographie étant établie, elle permettra de construire un plan de sécurisation des entreprises critiques, en incluant les sous traitants. En effet, le rapport invite également à établir une responsabilité du donneur d’ordres sur l’ensemble de sa chaîne de sous-traitance en matière cyber, afin de garantir une solidarité effective tout au long de la chaîne logistique.
Les sous-traitants constituent souvent les maillons les plus vulnérables d’une chaîne d’infrastructure, il apparaît donc vital de les protéger une fois que la cartographie aura été établie, afin de protéger l’ensemble de nos actifs stratégiques.
Le rapport d’information propose de financer cette montée en gamme par le biais d’un fonds cyber alimenté par les acteurs de la BITD et une partie des recettes issues des exportations d’armement, nous choisissons donc de reprendre cette recommandation et de proposer au gouvernement de l’étudier en en présentant les conclusions au parlement.

Dans les six mois à compter de la promulgation de la présente loi, le Gouvernement présente au Parlement un rapport sur la capacité de financer la montée en gamme en matière de cybersécurité des sous traitants par un fonds cyber alimenté par les acteurs de la base industrielle et technologique de défense et une partie des recettes issues des exportations d’armement.

Par cet amendement, le groupe LFI souhaite étendre la protection des lanceurs d’alerte aux agents mentionnés à l’article L1332‑12. La loi du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite « Sapin II », complétée par la loi du 21 mars 2022 transposant la directive européenne dite « Whistleblower » a consacré le principe et la légitimité de l’action des lanceurs d’alerte, et permis en partie de les protéger.

Les lanceuses et lanceurs d’alerte sont des vigies citoyennes, qui participent à l’intérêt général en révélant des scandales liés soit à des violations d’une norme, ou à des pratiques condamnables puisque contraires à l’intérêt général. Les OIV sont par essence essentielles au bon fonctionnement de notre société, de nos institutions et de notre économie. Une défaillance majeure de l’une d’entre elles pourrait avoir des conséquences extrêmement graves sur l’ensemble du pays. Dans le cadre de leurs missions, les agents habilités à rechercher et constater les manquements prévus à l’article 1 de ce PJL peuvent être confrontés à de telles situations ; il apparaît indispensable qu’ils puissent alerter publiquement et sans risques de poursuites l’opinion et les pouvoirs publics en cas de défaillance de leur hiérarchie, de manque de temps ou autre situation présentant un risque majeur à l’intérêt général du pays.

Compléter l’alinéa 71 par la phrase suivante :

« Ils ne peuvent être poursuivi pour atteinte au secret professionnel pour la révélation d’une information à caractère secret dans les conditions prévues à l’article 6 de la loi n° 2016‑1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique. »

Par cet amendement, le groupe parlementaire LFI prévoit un système de sauvegarde sécurisé pour les données mentionnées à l’article 20, exclusivement pour répondre aux besoins spécifiques des procédures pénales et des enquêtes en cybersécurité.

Cette mesure répond à des enjeux majeurs liés à la nature même des incidents de cybersécurité, qui sont souvent complexes, dissimulés, et détectés avec un retard important, parfois plusieurs années après leur survenue. La capacité des autorités judiciaires et des organismes de sécurité à reconstituer les chaînes d’attaque, identifier les auteurs, et comprendre les mécanismes d’intrusion repose donc sur la disponibilité prolongée de données fiables et complètes.

Par ailleurs, dans le cadre des procédures pénales, la continuité probatoire est essentielle pour garantir l’efficacité des enquêtes et la sécurité juridique des actes réalisés. La conservation étendue des données permet d’éviter que des preuves essentielles soient détruites prématurément, ce qui pourrait compromettre la poursuite des infractions graves liées au cybercrime ou à d’autres formes de délinquance numérique.

Toutefois, conscient des enjeux de protection des données personnelles et des libertés fondamentales, cet amendement insiste sur la mise en place de conditions strictes encadrant l’accès, la traçabilité et la sécurisation de ces données prolongées. Cette organisation garantit que la conservation ne constitue pas un stockage généralisé injustifié, mais un outil ciblé, contrôlé et proportionné, respectant les exigences du droit à la vie privée et des règles applicables en matière de données personnelles.

En somme, cette disposition équilibre la nécessité impérieuse de disposer d’éléments probatoires suffisants dans le temps, tout en assurant un cadre transparent et rigoureux de gestion des données sensibles, contribuant ainsi à renforcer la confiance dans les dispositifs de cybersécurité et dans le système judiciaire.

Compléter cet article par l’alinéa suivant :

« Les données mentionnées à l’alinéa précédent sont conservées dans un système de sauvegarde sécurisé pour une durée de dix ans aux seules fins de répondre à une demande émanant de l’autorité judiciaire dans le cadre d’une procédure pénale ou de permettre à l’autorité nationale de sécurité des systèmes d’information d’identifier l’origine d’un incident de cybersécurité ou d’assurer la résilience des réseaux. Ce dispositif de conservation prolongée est soumis à des conditions strictes d’accès, de traçabilité et de protection des données, dans le respect des droits fondamentaux. »

Par cet amendement, le groupe LFI souhaite intégrer au sein de la commission des sanctions mentionnée à l’article L. 1332-15 du code de la défense, des représentants du Parlement. Cette disposition vise à renforcer la légitimité démocratique, la transparence et le contrôle parlementaire dans les processus de sanction relatifs à la sécurité des infrastructures critiques.

La commission des sanctions, instituée dans le cadre du renforcement du régime de cybersécurité des opérateurs d’importance vitale (OIV) et des entités essentielles à la continuité de l'État, est investie d’un pouvoir administratif substantiel. Elle peut en effet prononcer des sanctions lourdes à l’égard d’acteurs économiques ou d’opérateurs stratégiques, en cas de manquements graves aux obligations de cybersécurité ou de résilience. Ces décisions, bien que de nature administrative, peuvent avoir des répercussions significatives sur la sécurité nationale, la stabilité économique, la souveraineté technologique ou encore la continuité des services publics.

Dans ce contexte, la présence de parlementaires au sein de la commission permettrait en outre de renforcer la confiance des citoyens et des opérateurs concernés dans l’impartialité et l’équité des décisions rendues.

Enfin, cette mesure s’inscrit dans une logique de renforcement des mécanismes de contrôle institutionnel. À l’heure où les autorités administratives indépendantes et les agences techniques exercent des prérogatives croissantes, parfois en marge du contrôle politique, il est fondamental de réaffirmer le rôle du Parlement dans les décisions touchant à la souveraineté, à la sécurité collective et aux droits des opérateurs économiques.

Après l’alinéa 82, insérer l’alinéa suivant :

« 1° bis De deux députés et deux sénateurs à parité, élus respectivement par la commissions des lois de l’Assemblée nationale et du Sénat ».

Par cet amendement, le groupe LFI souhaite que l’éducation soit classée comme un « secteur critique » au sens du présent projet de loi, au vu des conséquences potentiellement dramatiques des cyberattaques à la fois sur les apprentissages des élèves, mais également sur l’intégrité des établissements concernés.

L’école est aujourd’hui une cible privilégiée des pirates informatiques, et ce, pour plusieurs raisons. Tout d’abord, les établissements scolaires du 1^er et du 2^nd degré sont amenés à traiter de nombreuses données personnelles (inscriptions scolaires, environnement numérique de travail, suivi infirmier des élèves...) dont le vol peut engendrer des conséquences dramatiques pour les personnes concernées. De plus, les établissements scolaires – faute de budget suffisant – ont des infrastructures numériques largement obsolètes, ce qui en fait des proies faciles. Cette situation, couplée à un manque de formation évident des personnels de l’Education nationale sur ces enjeux, transforment les établissements scolaires en cibles privilégiées. Ainsi, la presse ne cesse de se faire l’écho depuis de nombreuses années de la recrudescence des cyberattaques contre les écoles. Face à cette situation, les pouvoirs publics tentent de réagir : la CNIL a publié le 15 mai 2025 deux nouveaux guides à destination des délégués à la protection des données, des directeurs d’école, des chefs d’établissement et du personnel administratif pour les aider à réagir en cas de violation de données personnelles, et de nombreux exercices gouvernementaux (comme l’opération « CACTUS ») sont déployés pour sensibiliser les élèves à la nécessité de protéger leurs données scolaires personnelles. Néanmoins, cela ne saurait constituer à elle-seule une réponse suffisante au regard des enjeux. Dans ce contexte, l’inscription de l’éducation comme « secteur critique » impliquerait un renforcement significatif des mesures de cybersécurité au sein des établissements scolaires – indispensables pour protéger les élèves, les personnels de l’Education nationale et le bon fonctionnement des établissements scolaires.

Après l’alinéa 19, insérer l’alinéa suivant :

« 8° De l’éducation. »

Par cet amendement, le groupe parlementaire LFI souhaite intégrer explicitement le secteur de l’alimentation parmi les secteurs hautement critiques, et non pas seulement critiques, reconnus par la législation, au même titre que l’eau potable, les eaux usées, l'énergie, les transports, les télécommunications ou encore la santé. Cette reconnaissance est essentielle pour garantir une protection adaptée et prioritaire de ce secteur au regard des impératifs de sécurité nationale, de continuité des services essentiels, et de résilience collective face aux crises.

Le système alimentaire français repose aujourd’hui sur des chaînes d’approvisionnement numérisées, fortement interconnectées et vulnérables : agriculture de précision, plateformes logistiques automatisées, gestion centralisée des stocks et des flux, systèmes de paiement et de traçabilité informatisés, sans oublier les marchés en ligne et la grande distribution numérique. Une cyberattaque ciblée sur l’un de ces maillons peut provoquer des ruptures d’approvisionnement, une désorganisation logistique ou encore une perte de confiance dans la qualité et la sécurité des produits alimentaires.

Par ailleurs, le secteur alimentaire est également exposé à des campagnes de désinformation, de manipulation ou de déstabilisation, qui peuvent affecter la consommation, l’image des filières agricoles, voire provoquer des paniques collectives en cas de crise sanitaire réelle ou artificiellement déclenchée.

L’intégration de ce secteur dans la liste des secteurs hautement critiques permettrait :
– d’anticiper davantage les risques systémiques, en obligeant les opérateurs alimentaires vitaux à se doter de plans de résilience, de continuité d’activité et de protection cyber ;
– d’associer les acteurs agricoles, industriels et logistiques aux dispositifs de cybersécurité prévus dans le texte, notamment en matière de partage d’informations, d’alerte ou de réponse aux incidents ;
– de mieux outiller les collectivités territoriales et les services de l’État pour soutenir les chaînes d’approvisionnement alimentaire en situation de crise, en identifiant les opérateurs clés et en garantissant leur fonctionnement prioritaire.

La crise du Covid-19, les tensions géopolitiques récentes ou encore les attaques informatiques subies par des coopératives agricoles ou des centrales d’achat ont rappelé à quel point la sécurité alimentaire est un pilier de la sécurité nationale. Sa reconnaissance comme secteur hautement critique, au sens du présent texte, permettrait d’opérer un changement de paradigme en matière de prévention, de coordination et de gestion de crise dans ce domaine stratégique. Elle constitue une mesure de bon sens et de vigilance face à un risque encore trop souvent sous-estimé.

I. – Après l’alinéa 11, insérer l’alinéa suivant :

« 11° De la production, de la transformation et de la distribution des denrées alimentaires. »

II. – En conséquence, supprimer l’alinéa 16.

Par cet amendement, les député.es du groupe LFI souhaitent octroyer à l’Anssi un pouvoir d’injonction immédiat lors de son contrôle en cas de risque imminent pour les intérêts fondamentaux de la Nation.

L’amendement permet de mettre en œuvre des mesures conservatoires immédiates, telles que l’interruption temporaire d’un service, le blocage d’accès ou la désactivation d’un système vulnérable, pour neutraliser sans délai la source de danger. Ces mesures visent à protéger l’intérêt général et la résilience des infrastructures critiques, permettant d’endiguer rapidement la menace, limitant ainsi l’exposition aux risques et la propagation d’éventuelles attaques ou dysfonctionnements.

En parallèle, il est prévu que ces actions ne préjugent pas du respect des droits procéduraux de l’entité concernée, qui conserve un délai raisonnable pour effectuer une mise en conformité complète et durable. Cette double approche garantit à la fois la sécurité et la rigueur juridique, conciliant efficacité opérationnelle et respect des principes de proportionnalité et de justice administrative.

Ainsi, cet amendement renforce la capacité d’intervention rapide des autorités dans un domaine sensible, tout en assurant un équilibre nécessaire entre prévention des risques majeurs et capacité d’adaptation des opérateurs.

Après l’alinéa 9, insérer l’alinéa suivant :

« Par dérogation aux alinéas précédents, lors de son contrôle, l’autorité nationale de sécurité des systèmes d’information peut enjoindre sans délai à la personne contrôlée de prendre toutes les mesures conservatoires nécessaires à faire cesser des manquements susceptibles de porter atteinte aux intérêts fondamentaux de la Nation, à la sécurité nationale, à la continuité des services essentiels ou à la protection des données sensibles. »

Par cet amendement d’appel, le groupe parlementaire de la France insoumise souhaite élargir à l’ensemble des communautés d’agglomération le statut d’entité importante.

Bien que l’article 10 octroie un pouvoir discrétionnaire au Premier ministre pour désigner ces collectivités comme entité essentielle, les seuils ne paraissent pas pertinents pour entamer une véritable politique publique globale de résilience et de cybersécurité des structures publiques.

Le présent amendement vise à supprimer le seuil démographique de 30 000 habitants actuellement requis pour considérer une collectivité territoriale comme une entité importante dans le cadre de la cybersécurité et de la résilience nationale. Ce critère purement quantitatif se révèle inadapté à la réalité des risques contemporains, et à la diversité des contextes territoriaux.

À l’alinéa 5, supprimer les mots :

« ne comprenant pas au moins une commune de plus de 30 000 habitants ».

Par cet amendement du groupe LFI, nous souhaitons étendre le champ des activités concernées par l’article 7, en ajoutant l’enseignement supérieur parmi les secteurs d’activités considérés comme hautement critiques pour la cybersécurité. En effet, les universités subissent des attaques cyber répétées qui peuvent largement impacter le service informatique mais aussi toute l’organisation du système d'enseignement. Le cas le plus parlant est sans doute la récente attaque, survenue en août 2024 sur l’université Paris Saclay, revendiquée par un groupe appelé RansomHouse. Selon l’université : “ Le groupe de ransomware indiquait avoir volé 1 téraoctet de données, et avait menacé de divulguer 193 fichiers au format PDF, majoritairement des CV, relevés de notes, lettres de motivation/de recommandation, diplômes, et deux documents d’identité, issus, à priori, de 44 candidatures au niveau master”. Cette cyberattaque a coûté 2,6 à 3 millions d’euros à l’université, hors coût du personnel.
Les attaques contre l’enseignement supérieur, sa liberté et l’indépendance de ses étudiants se multiplient en France et partout dans le monde. Cet amendement vise à protéger le système de l'enseignement supérieur des attaques cyber dont il pourrait être victime, en protégeant les systèmes d'exploitation ainsi que les données sensibles des étudiants, avant la mise en place d’un réel plan de cybersécurité dans l’ensemble des établissements d’enseignement supérieur, conformément au programme défendu par la France insoumise.

I. – Après l’alinéa 11, insérer l’alinéa suivant :

« 11° De l’enseignement supérieur et de la recherche ; ».

II. – En conséquence, supprimer l’alinéa 19.

Par cet amendement, le groupe LFI souhaite supprimer le report en 2030 de l'application des dispositions du présent projet de loi pour les sociétés de financement.

En France, les sociétés de financement et les établissements de crédit sont soumis aux mêmes règles prudentielles, ce qui n’est pas le cas dans tous les pays européens.
La directive DORA ne s’applique pas explicitement à ces sociétés. Les rapporteurs du texte au Sénat ont prétexté une supposée surtransposition pour repousser l’application de la directive à ces entités à 2030.
Il convient toutefois de prendre en compte cette particularité du droit français: les sociétés de financement doivent donc être soumises aux mêmes règles prudentielles que les autres entités financières (établissements de crédit par exemple), et rien ne justifie le report en 2030 de l'application des dispositions du présent projet de loi.

De plus, les sociétés de financement sont pourtant soumises aux mêmes risques liés aux Technologies de I'Information et de la Communication (TIC) que les autres types d'établissements bancaires, et le report de l’obligation d’application des mesures du présent projet de loi leur fait courir un risque cyber important.

Supprimer la seconde phrase de l'alinéa 1.

Par cet amendement, le groupe LFI souhaite modifier les critères de désignation des membres de la commission des sanctions afin de renforcer son indépendance et son impartialité. Le groupe LFI souhaite également renforcer l'indépendance de la commission des sanctions en supprimant la possibilité de renouveler le mandat de ses membres. En privant l'exécutif de la possibilité de renouveler le mandat des membres de la commission des sanctions, le caractère désintéressé des décisions prises par elle s'en trouvera renforcé.

L'avis des commissions des lois de l'Assemblée nationale et du Sénat permet en effet aux deux assemblées d'exercer leur pouvoir de contrôle sur les nominations décidées par l'exécutif, et ainsi prévenir d'éventuels conflits d'intérêt qui pourraient déboucher de ces nominations.

Lorsque la commission des sanctions est saisie par l’ANSSI, les 3 personnes qualifiées nommées par le Premier Ministre et les Présidents du Sénat et de l’Assemblée nationale ne peuvent avoir été membre dans les 3 dernières années d’un opérateur concerné par les sanctions, ni avoir été membre de l’ANSSI durant la même période (article 36 du PJL). Le présent amendement vise également à étendre cette condition à tous les membres de la commission des sanctions, et pas seulement lors d’une saisine par l’ANSSI.

Compléter l’alinéa 83 par les mots :

« , après avis des commission des lois de l’Assemblée nationale et du Sénat ».

Par cet amendement, les député.es du groupe LFI souhaitent garantir a minima le secret professionnel lors du contrôle.

L’article prévoit que le secret professionnel ne peut être opposé aux agents lors du contrôle. Si ce dispositif est nécessaire pour permettre un contrôle approfondi de la cybersécurité d’un organisme, il paraît nécessaire d’apporter une garantie supplémentaire au secret professionnel.

Ainsi, nous proposons d’inscrire dans la loi qu’aucun document qui relèvent du secret professionnel ne pourra être copié ou retranscrit par les agents. Ces derniers seront alors limités à leur seule consultation.

Après l’alinéa 7, insérer l’alinéa suivant :

« Lorsque les documents sont soumis au secret professionnel, les agents ne peuvent que les consulter. Ils ne peuvent ni les retranscrire ni les copier. »

Cet amendement vise à intégrer à la stratégie de l’ANSSI le soutien technique et logistique à la création d’une filière de formation publique et nationale sur les métiers de la cyber sécurité et de la cyber défense. En effet, il manque au moins 10 000 ingénieurs formés par an en France. Faute d'ingénieurs, seul un projet sur 6 en matière de cybersécurité est effectivement réalisé. La place des femmes dans ce type de filière est largement moindre : d’après une enquête réalisée en 2022 par l’observatoire des métiers de la cybersécurité de l’ANSSI, les formations en cyber sécurité ne comprenaient que 14% d’étudiantes.
Ainsi, il est essentiel pour l'État d’investir réellement dans une filière publique qui forme la population sur les métiers de cyber sécurité, qui soit accessible au plus grand nombre et diversifiée. Avec l’intensif développement de l’intelligence artificielle, la multiplication du nombre de centre de données, et la multiplication des attaques cyber et hybrides sur l’ensemble des services publics, il semble essentiel d’investir réellement dans la formation d’une large partie de la population. L’ANSSI pourrait ainsi apporter un soutien logistique et humain, dans la constitution de programmes actualisés. Cette formation doit être administrée par des acteurs publics, au vu de l’enjeu de souveraineté qu’elle représente.

Après l’alinéa 9, insérer l’alinéa suivant :

« 5° quater L’offre de formation publique dans le domaine de la cyber sécurité et la cyber défense ; ».

Par cet amendement, le groupe parlementaire de la France insoumise propose l’intégration d’un volet territorial à la stratégie nationale de cybersécurité, afin de mieux articuler l’ambition nationale avec les réalités locales et assurer les besoins de formation en accord avec l’augmentation des attaques et la nécessité de s’en prémunir.
Face à la multiplication des attaques numériques, les collectivités territoriales, notamment rurales ou périurbaines, demeurent sous-dotées en compétences, en ingénierie et en capacités de réponse. En l’absence d’une approche territorialisée, les inégalités d’accès aux dispositifs de protection et de formation risquent de s’aggraver, au détriment de la résilience collective.
Cet amendement propose ainsi de promouvoir un maillage territorial cohérent, via le soutien aux centres régionaux (CSIRT), la coordination avec les acteurs de la formation (régions, universités, lycées professionnels), et le renforcement des capacités locales. Il s’agit aussi de faire de la cybersécurité une filière d’avenir accessible dans tous les bassins d’emploi.
En inscrivant cette logique dans la stratégie nationale, il s’agit de répondre à un double enjeu : renforcer la sécurité numérique du pays et réduire les fractures territoriales, sociales et professionnelles dans un domaine stratégique.

Après l’alinéa 9, insérer les cinq alinéas suivants :

« 5° quater Une stratégie d’aménagement du territoire en lien avec l’alinéa 5°ter et comprenant :

« a) le maillage territorial des compétences, notamment par la création ou le soutien de centres régionaux de formation, d’expertise ou de réponse aux incidents (CSIRT) ;

« b) les établissements d’enseignement supérieur, les lycées professionnels et les organismes de formation continue, en lien avec les régions ;

« c) les dispositifs de soutien aux collectivités territoriales pour leur mise en conformité, leur sécurisation numérique et leur capacité de résilience ;

« d) des objectifs de réduction des inégalités territoriales d’accès aux métiers, aux formations et aux ressources en cybersécurité. »

Par cet amendement du groupe LFI, nous souhaitons étendre le champ des activités concernées par l’article 7, en ajoutant les câbles sous-marins et leurs opérateurs parmi les secteurs d’activités considérés comme hautement critiques.
En effet, plus de 95 % du trafic mondial de données de communications transite par les réseaux de câbles sous-marins. Leur bon fonctionnement et leur sécurisation est donc indispensable à la continuité des échanges, ainsi qu’à la sécurité nationale et à la souveraineté numérique. De plus, de nombreuses infrastructures stratégiques restent dépendantes du bon fonctionnement de ces câbles sous-marins et de leur sécurisation.
Or, ces infrastructures sont largement exposées aux risques de sabotage physiques et cyber. Ils sont aujourd’hui vulnérables face aux menaces d’une guerre hybride et ne sont que trop mal protégés, comme le mettent en évidence dès 2023 les rapporteurs de la mission d'information sur les fonds marins Aurélien Saintoul et Lysiane Metayer. Ce rapport avait d’ailleurs été précurseur de la nationalisation d’Alcatel Submarine Network, essentiel à notre souveraineté dans le domaine numérique. Ainsi, il apparaît vital pour la sécurité de nos communications et de nos actifs stratégiques d’inclure les câbles sous-marins et leurs opérateurs parmi les secteurs d’activité considérés comme essentiels, en renforçant leur sécurité, afin de réduire leur vulnérabilité, dans l’attente d’une souveraineté complète sur le sujet.

Après l’alinéa 11, insérer l’alinéa suivant :

« 11° Des câbles sous-marins et de leurs opérateurs. »

Par cet amendement, le groupe LFI souhaite s’assurer que la stratégie nationale de cybersécurité comprendra bien les missions de cyberprotection, de cyberhygiène et d’éducation aux bonnes pratiques numériques décrites plus haut.

La directive NIS II enjoint explicitement les États à inclure dans leur stratégie nationale en matière de cybersécurité des mesures de promotion de la cyberprotection active ainsi que la promotion et le développement de l’éducation et de la formation en matière de cybersécurité, des compétences en matière de cybersécurité, des initiatives de sensibilisation et de recherche et développement en matière de cybersécurité, ainsi que des orientations sur les bonnes pratiques de cyberhygiène et les contrôles, à l’intention des citoyens, des parties prenantes et des entité.

Ces mesures d’éducation et de sensibilisation citoyenne et populaire doivent être au coeur de la stratégie nationale de cybersécurité ; leur inscription dans la loi permettrait de les sanctuariser et les ériger en priorité afin de faire du numérique un bien commun émancipateur.

Compléter l’alinéa 7 par les mots :

« , notamment par des politiques actives de cyberprotection, de cyberhygiène et d’éducation aux bonnes pratiques numériques ; »